Kolejnym z organów, po francuskim i norweskim, który przedstawił swoje stanowisko w zakresie wykorzystywania plików cookies, banerów cookies i konieczności uzyskiwania na nie zgody jest organ luksemburski. Opracował wytyczne, które mają pomóc operatorom stron internetowych w przestrzeganiu obowiązujących przepisów.
Pliki cookies, fingerprinting, web beacons czy shared objects – z czym się to je
W pierwszej kolejności, organ postanowił wyjaśnić czym są pliki cookies. Wskazał, że są to pliki tekstowe umieszczane na urządzeniach końcowych użytkowników, dzięki którym możliwa jest identyfikacja odwiedzającego stronę podczas jego kolejnej wizyty, np. zapamiętanie języka jaki poprzednio wybrał użytkownik i innych tego typu szczegółów. Niektóre z plików nieco bardziej naruszają prywatność użytkownika np. poprzez śledzenie i profilowanie, co daje możliwość opracowania i przedstawienia ukierunkowanych reklam.
Co ważne, organ podkreślił, że istnieją już nowe technologie wykorzystywane obok plików cookies lub zamiast nich, które pozwalają na profilowanie, śledzenie lub targetowanie. Znane są pod takim nazwami jak: fingerprinting, web beacons czy shared objects. O ile wykorzystywanie tych narzędzi wiąże się z zainstalowaniem ich na urządzeniach końcowych, to opracowane przez organ luksemburski wytyczne dot. plików cookies odnoszą się również do nich. Podlegają one zatem tym samym wymaganiom i obowiązkom jak wykorzystywanie plików cookies.
Jakie regulacje?
Organ wskazał na dwa akty prawa unijnego, które regulują kwestie możliwości wykorzystania plików cookies. Po pierwsze jest to dyrektywa 2002/58/WE dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej, a dokładniej art. 5 ust. 3 dyrektywy. Dzięki tej regulacji wiemy, że instalowanie na urządzeniach końcowych plików cookies, które są niezbędne czyli służące do komunikacji lub niezbędne do świadczenia usługi żądanej przez użytkownika odbywać się może bez uzyskania zgody.
W przypadku pozostałych plików cookies, uzyskanie uprzedniej zgody jest konieczne do umieszczenia plików na urządzeniach końcowych. Zgoda musi być tożsama ze zgodą opisaną w Rozporządzeniu Ogólnym o Ochronie Danych (RODO). Wobec, czego to właśnie przepisy RODO są drugim aktem prawnym dotyczącym cookies.
Zwrócono także uwagę, iż rozważając kwestię plików cookies warto również zapoznać się z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z dnia 1 października 2019 r. C-673/17 w sprawie Planet 49. Wyrok ten wskazuje w jaki sposób dochodzi do interakcji pomiędzy wspomnianą dyrektywą a RODO. Organ zaznacza jednak, że w dalszym ciągu mogą występować różnice interpretacyjne, dlatego tak ważne jest przyjęcie w niedługiej przyszłości rozporządzenia o prywatności, które jest obecnie w fazie przygotowywania przez instytucje Unii Europejskiej.
Niezbędne ciasteczka, czyli jakie?
Tak jak już wspominaliśmy, w przypadku niezbędnych plików cookie nie jest konieczne uzyskiwanie uprzedniej zgody. W swoich wytycznych organ luksemburski wskazuje, co rozumie przez „niezbędne pliki cookies”, niewymagające uzyskania zgody. „Niezbędne pliki cookies” to m.in. pliki, które umożliwiają uwierzytelnianie użytkowników, zapisywanie wyborów użytkowników dotyczących plików cookies czy zapisanie formatu wyświetlania lub ustawienia języka. Nie są do nich zaliczane te wykorzystywane do celów statystycznych. Zdaniem organu w przypadku chęci korzystania z tych ostatnich konieczne jest uzyskanie zgody.
Niezależnie czy konieczne jest uzyskanie zgody czy nie, organ podkreśla, że konieczne jest informowanie użytkowników o ich wykorzystywaniu. Ponadto, jeśli wykorzystywane pliki cookies wiąże się z przetwarzaniem danych osobowych konieczne jest spełnienie obowiązku zgodnie z art. 13 RODO, np. poprzez zamieszczenie odpowiednich informacji w polityce prywatności lub plików cookies. A więc mamy kolejną konkretną wskazówkę i do tego dotycząca tak trudnej kwestii jak obowiązek informacyjny.
Kiedy pytać o zgodę?
Organ wskazuje, że pliki wykorzystywane do śledzenia, profilowania, ustalenia geolokalizacji czy wtyczki społecznościowe wymagają uzyskania zgody. Musi ona zostać uzyskana przed umieszczeniem pliku na urządzeniu końcowym. By mówić o „świadomej” zgodzie, zdaniem organu, konieczne jest udzielenie odpowiednich informacji użytkownikowi, zgodnie z wymaganiami zawartymi w art. 12 i 13 RODO.
Właściciel strony internetowej nie może uzależnić dostępu do jej treści od wyrażenia zgody na wykorzystywanie plików cookies nie będących plikami niezbędnymi. W takim przypadku uzyskana zgoda jest nieważna. Wykorzystywanie odmiennych czcionek, kolorów, rozmiaru, formy czy kontrastów również ogranicza swobodę wyrażanej zgody (np. „TAK-nie”) i powinno unikać się takiego różnicowania odpowiedzi. Ponadto, takiego działania, jak dalsze przeglądanie strony, czy samo „odklikanie” pola wyrażenia zgody, bez zaznaczenia konkretnej opcji – nie można uznać za pozytywne działanie użytkownika i nie stanową zgody.
Organ podkreśla również, że zgoda musi zostać wyrażona oddzielnie na każdy z celów wykorzystywania plików cookies, aby uznać, że ma charakter konkretnej. Co ważne, sposób wycofania zgody ma być tak samo łatwy, jak jej wyrażenia. Organ zaprezentował także konkretne rozwiązania, jak zapewnić to w praktyce.
Co ciekawe organ wskazuje również okres „ważności” uzyskanej zgody na maksymalnie 12 miesięcy. O ile wskazany okres nie został przekroczony, nie ma zatem potrzeby uzyskiwania ponownie zgody, chyba, ze nastąpiła istotna zmiana w procesie przetwarzania danych.
Zasada rozliczalności i odpowiedzialność administratora
Organ podkreśla, że podmiot pozyskujący zgody musi pamiętać o obowiązku wynikającym z art. 7 ust. 1 RODO, czyli udowodnienia, że uzyskano ważną zgodę użytkownika. Może to zostać wykazane np. poprzez przechowywanie informacji o sesji, podczas której została uzyskana zgoda.
Luksemburski organ nadzorczy przypomniał również, że w przypadku wykorzystywania platform do zarządzania zgodami, odpowiedzialność za przestrzeganie przepisów prawa ciąży na administratorze – właścicielu strony internetowej. Platforma do zarządzania zgodami w takim wypadku jest jedynie podmiotem przetwarzającym z którym należy zawrzeć umowę powierzenia w myśl z art. 28 RODO.
Praktyczne zastosowanie
Zarówno w zakresie plików cookies niezbędnych, które zdaniem organu nie wymagają uzyskania uprzedniej zgody, jak i tych które jej wymagają, przedstawiono praktyczne wskazówki, w jaki sposób użytkownik strony powinien zostać właściwie poinformowany o tym mechanizmie i jak uzyskać zgodę oraz jakie praktyki są niewłaściwe.
Kwestia wykorzystywania plików cookies jest coraz częściej przedmiotem zainteresowania organów krajowych i europejskich. Czekając na nowe europejskie przepisy dotyczące e-prywatności warto przyjrzeć się rekomendowanym przez inne organy nadzorcze rozwiązaniom. Dzięki takim działaniom można potencjalnie uniknąć nałożenia kary administracyjnej, a jak wiemy lepiej zapobiegać niż leczyć.
Źródło: https://cnpd.public.lu/fr/dossiers-thematiques/cookies.html